Le jour où un cabinet comptable a été piraté

Il est 8h07 un lundi de mars, en plein milieu de la période des déclarations de revenus.

Les employés commencent à accéder à leurs systèmes, mais il y a un problème. Les fichiers ne s'ouvrent pas. Le logiciel comptable est bloqué. L'accès à la messagerie électronique est aléatoire.

Puis quelqu'un remarque un message sur son écran.

Vos fichiers ont été chiffrés. Pour y accéder à nouveau, suivez ces instructions.

Quelques minutes plus tard, le téléphone de l'associé gérant se met à sonner.

Les clients appellent.

Les fichiers de paie sont inaccessibles. Les déclarations fiscales des entreprises sont en cours de traitement. Les échéances approchent. Le prestataire informatique mène l'enquête, mais aucune réponse claire n'a encore été trouvée.

Cette situation n'est pas rare. Elle touche des cabinets comptables partout en Amérique du Nord, notamment aux États-Unis et au Canada. Nombre d'entre eux pensaient être trop petits pour être visés.

Ils avaient tort.

Pourquoi les cabinets comptables sont la principale cible des cyberattaques

Les cabinets comptables possèdent l'une des collections les plus concentrées d'informations financières confidentielles du secteur privé.

Dans un seul système, les attaquants peuvent trouver des numéros de sécurité sociale, des déclarations de revenus, des numéros d'identification d'employeur, des informations de compte bancaire, des registres de paie et des états financiers détaillés d'entreprises.

Pour un cybercriminel, le piratage des données d'un cabinet comptable donne accès simultanément à des centaines d'entreprises et de particuliers.

Les petites et moyennes entreprises sont des cibles particulièrement prisées car elles gèrent des données de grande valeur, mais elles manquent souvent d'équipes dédiées à la cybersécurité. Les grandes entreprises ne sont généralement pas visées par les pirates.

Ils recherchent le plus abordable.

Par conséquent, la cybersécurité n'est plus une option pour les cabinets comptables. C'est une exigence fondamentale de leur activité.

Le véritable coût d'une cyberattaque

Quand les dirigeants pensent à la cybersécurité, ils la perçoivent souvent comme un problème technologique. En réalité, c'est un enjeu financier et de réputation.

Les coûts immédiats peuvent inclure des enquêtes numériques, des conseils juridiques, des obligations de notification aux clients, des services de surveillance du crédit, la gestion des relations publiques et, dans certains cas, le paiement de rançons.

Une perturbation opérationnelle peut être encore plus dommageable.

Que se passe-t-il si votre entreprise n'a pas accès aux données clients pendant cinq jours durant la période fiscale ? Que se passe-t-il si le traitement de la paie est perturbé ? Que se passe-t-il si le personnel ne peut pas récupérer les documents financiers nécessaires aux déclarations fiscales ?

Les obligations réglementaires entrent également en jeu.

Aux États-Unis, les cabinets comptables doivent se conformer aux exigences de l'IRS en matière de protection des données et à la réglementation de la FTC sur la protection des données. Au Canada, les entreprises qui traitent des données de contribuables doivent respecter les exigences de l'Agence du revenu du Canada en matière de protection des données, ainsi que les lois fédérales et provinciales sur la protection de la vie privée.

Le défaut de mettre en œuvre des mesures raisonnables de protection des données peut entraîner des sanctions, des enquêtes, des poursuites judiciaires et une atteinte durable à la réputation.

La confiance est le fondement de toute relation comptable. Une fuite de données peut la fragiliser du jour au lendemain.

Les idées fausses concernant la cyberassurance

De nombreuses entreprises se sentent protégées grâce à leur assurance cyber.

L'assurance est importante, mais ce n'est pas une stratégie de cybersécurité.

Les polices d'assurance cyber modernes exigent souvent une authentification multifacteurs, la détection et la réponse aux incidents sur les terminaux, une gestion formelle des correctifs, une formation des employés à la sensibilisation à la sécurité, et

Des sauvegardes correctement protégées et testées.

Si les garanties nécessaires ne sont pas respectées, les demandes d'indemnisation peuvent être réduites ou rejetées.

Même lorsque la couverture est valide, l'assurance ne rétablit pas la confiance des clients. Elle ne prévient pas les atteintes à la réputation. Elle n'élimine pas le stress et l'incertitude auxquels les dirigeants sont confrontés en temps de crise.

L'assurance absorbe une partie du choc financier. Elle n'empêche pas l'événement.

Le risque accru du travail hybride

Le cabinet comptable moderne fonctionne dans un environnement hybride. Les employés accèdent aux systèmes depuis leur domicile, des espaces de travail partagés et des appareils mobiles.

Chaque connexion à distance augmente l'exposition de l'entreprise aux risques.

Un réseau Wi-Fi domestique faible. Un courriel d'hameçonnage réussi. Un compte de stockage en nuage mal configuré.

Ces petites vulnérabilités peuvent devenir des points d'entrée pour des brèches majeures.

Votre périmètre de sécurité ne se limite plus à vos bureaux physiques. Il s'étend à tous les lieux où vos employés se connectent.

La cybersécurité est désormais une responsabilité de direction

Les cyber-risques ont un impact direct sur la continuité des revenus, la conformité réglementaire, l'éligibilité à l'assurance et la fidélisation de la clientèle.

Ce n'est plus quelque chose qui peut vous être entièrement délégué.

Les associés gérants et les directeurs généraux doivent pouvoir répondre avec assurance à plusieurs questions cruciales.

Pourrions-nous rétablir nos opérations dans les 72 heures suivant une attaque par rançongiciel ? Quand avons-nous effectué notre dernière évaluation de sécurité indépendante ? Nos sauvegardes sont-elles testées et inviolables ? Disposons-nous d’un plan de réponse aux incidents documenté et mis en pratique ? Qui, au sein de l’équipe…

La direction générale est responsable des cyber-risques.

Si l'on ne peut répondre clairement à ces questions, le risque est déjà présent.

Les entreprises qui domineront le secteur

Les cybermenaces ne diminuent pas. Elles deviennent plus automatisées et plus motivées par le gain financier.

Cependant, les entreprises qui abordent la cybersécurité comme une protection opérationnelle se trouvent dans une situation différente.

Ils investissent dans une protection multicouche. Ils forment leurs employés. Ils testent régulièrement leurs systèmes. Ils alignent leur cybersécurité sur les exigences de conformité de l'IRS et de l'ARC. Ils considèrent la protection des données comme faisant partie de leur devoir fiduciaire envers leurs clients.

Les clients s'informent de plus en plus sur les mesures de cybersécurité avant de signer des accords de partenariat. Les grandes organisations exigent souvent des garanties documentées avant de partager des informations financières.

La cybersécurité devient non seulement une mesure de protection, mais aussi un avantage concurrentiel.

Une dernière réflexion à l'attention des dirigeants d'entreprise

Toute entreprise comptable repose sur la confiance.

Vos clients vous confient leur identité, leurs finances et les détails qui définissent leur entreprise.

Protéger ces informations n'est plus seulement une obligation technique. C'est une responsabilité de direction.

La question n'est pas de savoir si les cabinets comptables sont la cible de cyberattaques.

Ils sont.

La question est de savoir si votre entreprise est préparée ou si la première conversation sérieuse sur la cybersécurité aura lieu un lundi de mars à 8h07.